Распространенные вопросы, ответы и сценарии с политиками и профилями в Microsoft Intune.
Важно!
22 октября 2022 г. Microsoft Intune прекратила поддержку устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.
Если в настоящее время вы используете Windows 8.1, перейдите на устройства Windows 10/11. В Microsoft Intune есть встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.
Получите ответы на часто задаваемые вопросы при работе с профилями и политиками устройств в Intune. В этой статье также приводятся интервалы времени между сеансами связи, предоставляются дополнительные сведения о конфликтах и многое другое.
Эта статья применяется к следующим политикам:
- Политики защиты приложений
- Политики конфигурации приложений
- Политики соответствия
- Политики условного доступа
- Профили конфигурации устройства
- Политики регистрации
Интервалы обновления политики
При регистрации устройства он немедленно проверяет соответствие, несоответствие и конфигурацию для текущего контекста пользователя или устройства, получая все ожидающие действия, политики и приложения, назначенные ему.
Существует 4 main типа проверка входов:
Запланированные проверка-входы. Эти проверка-входы выполняются через предопределенные интервалы и могут быть инициированы клиентом или службой в зависимости от платформы. Число проверка оценивается следующим образом:
| Платформа | Предполагаемый цикл обновления |
|---|---|
| Android, AOSP | Примерно каждые 8 часов |
| iOS/iPadOS | Примерно каждые 8 часов |
| macOS | Примерно каждые 8 часов |
| Компьютеры с Windows 10/11, зарегистрированные как устройства | Примерно каждые 8 часов |
Управляемые пользователем проверка. Эти проверка управляются конечными пользователями при выполнении определенных действий в приложении Корпоративный портал, например при переходе в разделПроверка состоянияустройства> илиСинхронизацияпараметров>, чтобы проверка для обновления политики или профиля или выбрать приложение для скачивания.
Администратор проверка входов. Эти проверка управляются администраторами при выполнении определенных действий на одном устройстве с портала Intune, таких как синхронизация устройств, удаленная блокировка или сброс секретного кода. Другие действия, такие как удаленное оказание помощи пользователям, не вызывают проверка устройства.
Входы проверка на основе уведомлений. Эти проверка-входы происходят с помощью различных действий, которые активируют уведомление. Например, при назначении (или отмене назначения) политики, профиля или приложения, обновлении, удалении или при внесении определенных закулисных изменений, таких как Microsoft Entra обновления членства в группах. Другие изменения не вызывают немедленное уведомление устройств, например добавление приложения как доступного для пользователей.
Intune уведомляет сетевые устройства о проверка в службе Intune. Время уведомления зависит от нескольких часов. Время уведомления также зависит от платформы.
На устройствах Android мобильные службы Google (GMS) могут влиять на интервалы обновления политики.
На устройствах iOS определенные условия могут влиять на интервалы обновления политики.
Автономное устройство, например выключенное или отключенное устройство, может не получать уведомления. В этом случае устройство получает политику или профиль в следующем запланированном проверка с Intune.
Примечание.
Для Intune отчетов может потребоваться дополнительное время, чтобы отразить последнее состояние политики на устройстве на портале Intune.
Кроме того, при первой регистрации устройств более часто выполняются проверка конфигурации для выполнения проверок конфигурации, соответствия и несоответствия. Число проверка оценивается следующим образом:
| Платформа | Предполагаемый цикл обновления |
|---|---|
| Android, AOSP | Каждые 3 минуты в течение 15 минут, затем каждые 15 минут в течение 2 часов, а затем примерно каждые 8 часов |
| iOS/iPadOS | Каждые 15 минут в течение 1 часа, затем примерно каждые 8 часов |
| macOS | Каждые 15 минут в течение 1 часа, затем примерно каждые 8 часов |
| Компьютеры с Windows 10/11, зарегистрированные как устройства | Каждые 3 минуты в течение 15 минут, затем каждые 15 минут в течение 2 часов, а затем примерно каждые 8 часов |
Сведения о интервалах обновления политики защиты приложений см. в разделе Время доставки политики защиты приложений.
Корпоративный портал
В любое время пользователи могут открыть приложение Корпоративный портал и перейти в разделПроверка состоянияустройств>, чтобы оценить параметры устройства и проверить доступ к рабочим или учебным ресурсам, а также перейти в раздел Синхронизация параметров>, чтобы получить последние обновления, требования и сообщения от вашей организации.
Подробнее об агенте расширения управления Intune и приложениях Win32 см. в статье Управление приложениями Win32 в Microsoft Intune.
Дополнительные сведения см. в разделах Синхронизация зарегистрированного устройства для Windows и Проверка доступа устройства в Корпоративный портал для Windows.
Conflicts
Конфликты могут возникать, когда разные политики обновляют один и тот же параметр до разных значений. Например, у вас есть две политики, которые обновляют параметр копирования и вставки до разных значений. Конфликт обрабатывается по-разному в зависимости от типа политики.
Если вы используете Microsoft Copilot в Intune, Copilot может помочь в разрешении конфликтов. Дополнительные сведения см. в статье Управление политиками и параметрами в Copilot в Intune.
Вы также можете использовать Microsoft Copilot в Intune, чтобы получить дополнительные сведения о политиках и параметрах, настроенных в политиках.
Конфликтующие политики защиты приложений
Значения конфликтов — это наиболее ограничительные параметры, доступные в политике защиты приложений. Исключение составляют поля с числовыми значениями, например число попыток ввода ПИН-кода перед сбросом. Значения в таких полях задаются, как если бы вы создали политику MAM с помощью рекомендуемых параметров.
Конфликты возникают, когда два параметра профиля совпадают. Например, вы настроили две политики MAM, которые идентичны, за исключением параметра копирования и вставки. В этом сценарии для параметра копирования/вставки задано наиболее ограничительное значение. Остальные параметры применяются в соответствии с настройками.
Политика развернута для приложения и вступает в силу. Развертывается вторая политика. В этом случае первая политика имеет более высокий приоритет и по-прежнему применяется. Вторая политика считается конфликтующей. Если же обе политики применяются одновременно, т. е. предыдущей политики нет, они обе будут конфликтующими. Поэтому для всех конфликтующих параметров задаются наиболее строгие значения.
Политики соответствия требованиям и конфигурации устройств, которые конфликтуют
Если для одного пользователя или устройства назначено несколько политик, применяемый параметр определяется на уровне отдельных параметров:
Если вы используете политики соответствия для оценки параметров устройства, параметры в политике соответствия имеют приоритет над тем же параметром в политиках конфигурации устройств. Параметры политики соответствия требованиям всегда имеют приоритет над параметрами профиля конфигурации.
При сравнении аналогичных параметров разных политик соответствия требованиям применяется наиболее строгий из них.
Если параметр политики конфигурации конфликтует с параметром в другой политике конфигурации, этот конфликт отображается в Intune. Разрешите конфликты вручную.
В центре администрирования Intune есть несколько мест, где можно создавать политики конфигурации, в том числе аналитика групповых политик, безопасность конечных точек, базовые показатели безопасности и т. д. Если возникает конфликт и у вас есть несколько политик, проверьте все настроенные политики. Кроме того, при конфликтах могут помочь встроенные функции создания отчетов. Подробнее о доступных отчетах см. в разделе Отчеты Intune.
Настраиваемые политики iOS,iPadOS или macOS, которые конфликтуют
Intune не оценивает полезные данные файлов конфигурации Apple или настраиваемой политики универсального кода ресурса Open Mobile Alliance (OMA-URI), а просто служит механизмом доставки.
При назначении настраиваемой политики убедитесь, что настроенные параметры не конфликтуют с политиками соответствия требованиям, конфигурации и другими настраиваемыми политиками. Если пользовательская политика и ее параметры конфликтуют, Apple применяет параметры случайным образом.
При конфликтах также могут помочь встроенные функции создания отчетов. Подробнее о доступных отчетах см. в разделе Отчеты Intune.
Профиль удален или больше не применяется
При удалении профиля или удалении устройства из группы, которой назначен профиль, профиль и параметры удаляются с устройства. Удаление выполняется в соответствии со следующим списком:
Профили Wi-Fi, VPN, сертификатов и электронной почты. Эти профили будут удалены из всех поддерживаемых устройств.
Остальные типы профилей:
Устройства Android. Параметры не удаляются с устройства.
iOS/iPadOS. Удаляются все параметры, за исключением указанных далее.
- Разрешить голосовой роуминг
- Разрешить передачу данных в роуминге
- Разрешить автоматическую синхронизацию в роуминге
Устройства с Windows. После удаления или отмены назначения профиля пользователь Microsoft Entra должен войти на устройство и синхронизировать его со службой Intune.
Параметры Intune основаны на поставщике службы конфигурации (CSP) Windows. Их поведение зависит от поставщика. Некоторые поставщики удаляют параметр, а некоторые сохраняют (также называется "татуированием").
Профиль применяется к группе пользователей. Позже пользователь удаляется из группы. При удалении параметров для этого пользователя следующие операции могут занять до 7 часов или даже более:
- Удаление профиля из назначения политики в Центре администрирования Intune
- Синхронизация устройства с объектом Intune с помощью цикла обновления политики для конкретной платформы (в этой статье)
Мне удалось изменить профиль ограничения устройства, но изменения не вступили в силу
Чтобы применить менее ограничительный профиль, некоторые устройства нужно снять с учета и повторно зарегистрировать в Intune. Например, снятие с учета и повторная регистрация могут потребоваться для клиентских устройств с Android, iOS/iPadOS и Windows.
Некоторые параметры в профиле Windows 10/11 возвращают ошибку "Неприменимо"
Для некоторых параметров на клиентских устройствах Windows может отображаться Неприменимо. В этом случае конкретный параметр не поддерживается в версии или выпуске Windows на устройстве. Это сообщение может появиться по любой из следующих причин.
- Параметр доступен только для более новых версий Windows, но не текущей версии операционной системы на устройстве.
- Параметр доступен только для определенных выпусков Windows или конкретных SKU, например Домашняя, Профессиональная, Корпоративная и для образовательных учреждений.
Дополнительные сведения о версиях и требованиях к версии для различных параметров см. в разделе Справочник по поставщику службы конфигурации (CSP).
При регистрации устройств возникает задержка в применении приложений и политик, назначенных динамическим группам устройств.
Во время регистрации можно использовать динамические группы устройств Microsoft Entra. Например, можно создать динамическую группу устройств на основе имени устройства или профиля регистрации.
Профиль регистрации применяется к записи устройства во время начальной настройки устройства. Динамическое группирование Microsoft Entra не происходит мгновенно. Устройство может не находиться в динамической группе в течение некоторого времени, возможно, от нескольких минут до нескольких часов, в зависимости от других изменений, внесенных в ваш клиент.
Если устройство не добавлено в группу, приложения и политики не назначаются устройству во время первоначальной регистрации Intune. Политики могут не применяться до следующей запланированной регистрации.
Если для вашего сценария установки и регистрации важна быстрая доставка приложений и политик, назначьте приложения и политики группам пользователей, а не динамическим группам устройств. Группы пользователей предварительно заполняются членами перед настройкой устройства и не имеют этой задержки.
Дополнительные сведения о динамических группах см. в следующих статьях:
- Добавление групп для организации пользователей и устройств в Intune
- Рекомендации по производительности при использовании Intune для группирования, назначения и фильтрации
- Правила динамического членства для групп в Microsoft Entra ID
Ошибка "Не удалось инициировать синхронизацию (0x80072f9a)"
На устройствах с Windows при попытке синхронизации в приложении >ПараметрыУчетные> записиДоступ к рабочей или учебной среде может возникнуть The sync could not be initiated (0x80072f9a) ошибка.
Если доверенный платформенный модуль (TPM) был сброшен до заводских настроек, устройство должно быть повторно зарегистрировано, чтобы возобновить синхронизацию. Удостоверение Microsoft Entra устройства хранится в TPM. Таким образом, если идентификатор удален, то повторная регистрация является единственным способом восстановления Microsoft Entra удостоверения.
Связанные статьи
- Устранение неполадок политик и профилей.
- Нужна дополнительная помощь? См. статью Как получить поддержку в Microsoft Intune.